Hur analyserar HijackThis Logs

Vad är en analys och hur gör du en bra analys? (April 2025)

Vad är en analys och hur gör du en bra analys? (April 2025)

:

Anonim

HijackThis är ett gratis verktyg från Trend Micro. Det var ursprungligen utvecklat av Merijn Bellekom, en student i Nederländerna. Spyware-avlägsningsprogram som Adaware eller Spybot S & D gör ett bra jobb med att upptäcka och ta bort de flesta spionprogram, men vissa spionprogram och webbläsare är för luriga för även dessa stora anti-spyware verktyg.

HijackThis är skrivet speciellt för att upptäcka och ta bort webbläsarekapslar eller programvara som tar över din webbläsare, ändrar din standard startsida och sökmotor och andra skadliga saker. Till skillnad från vanlig anti-spyware program använder HijackThis inte signaturer eller riktar mot specifika program eller webbadresser för att upptäcka och blockera. I stället söker HijackThis efter de knep och metoder som används av skadlig programvara för att infektera ditt system och omdirigera din webbläsare.

Inte allt som dyker upp i HijackThis-loggarna är dåliga saker och det ska inte alla tas bort. Faktum är faktiskt ganska motsatt. Det är nästan garanterat att några av föremålen i dina HijackThis-loggar kommer att vara legitim programvara, och att ta bort de här objekten kan ha negativ inverkan på ditt system eller göra det helt oanvändbart. Använda HijackThis är mycket som att redigera Windows-registret själv. Det är inte raketvetenskap, men du borde definitivt inte göra det utan någon expertvägledning om du inte vet vad du gör.

När du installerat HijackThis och kör det för att skapa en loggfil finns det ett brett utbud av forum och webbplatser där du kan posta eller ladda upp loggdata. Experter som vet vad man ska leta efter kan hjälpa dig att analysera logguppgifterna och ge dig råd om vilka saker du vill ta bort och vilka som ska lämnas ensamma.

För att ladda ner den nuvarande versionen av HijackThis kan du besöka den officiella webbplatsen på Trend Micro.

Här är en översikt över de HeackThis loggposter som du kan använda för att hoppa till den information du söker:

  • R0, R1, R2, R3 - Internet Explorer Start / sökwebbadresser
  • F0, F1 - Autoloading-program
  • N1, N2, N3, N4 - Netscape / Mozilla Start / Sök webbadresser
  • O1 - Hosts omdirigering av filer
  • O2 - Browser Helper Objects
  • O3 - Verktygsfält i Internet Explorer
  • O4 - Autoloading program från registret
  • O5 - IE Alternativ ikonen är inte synlig i Kontrollpanelen
  • O6 - IE Alternativåtkomst begränsad av Administratör
  • O7 - Regedit-åtkomst begränsad av Administratör
  • O8 - Extra objekt i högerklick-menyn i IE
  • O9 - Extra knappar på huvud IE-knapps verktygsfält eller extra saker i IE 'Verktyg' -menyn
  • O10 - Winsock kapare
  • O11 - Extra grupp i IE 'Advanced Options' fönstret
  • O12 - IE plugins
  • O13 - IE DefaultPrefix kapning
  • O14 - "Återställ webbinställningar" kapning
  • O15 - Oönskad webbplats i Trusted Zone
  • O16 - ActiveX-objekt (även nedladdade programfiler)
  • O17 - Lop.com domänkapellare
  • O18 - Extra protokoll och protokoll kapare
  • O19 - Körning av användarkladblad
  • O20 - AppInit_DLLs Registreringsvärde autorun
  • O21 - ShellServiceObjectDelayLoad Registry Key autorun
  • O22 - SharedTaskScheduler Registernyckel autorun
  • O23 - Windows NT-tjänster

R0, R1, R2, R3 - IE Start och Sök sidor

Vad det ser ut som:R0 - HKCU Software Microsoft Internet Explorer Main, Startsida = http://www.google.com/R1 - HKLM Programvara Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (den här typen används inte av HijackThis än)R3 - Standard URLSearchHook saknas

Vad ska man göra:Om du känner igen webbadressen i slutet som din hemsida eller sökmotor är det OK. Om du inte gör det, kolla det och ha HijackThis fixa det. För R3-objekten, åtgärda dem alltid om det inte nämns ett program du känner igen, som Copernic.

F0, F1, F2, F3 - Autoloadingprogram från INI-filer

Vad det ser ut som:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched

Vad ska man göra:F0-föremålen är alltid dåliga, så fixa dem. F1-föremålen är vanligtvis mycket gamla program som är säkra, så du bör hitta lite mer information om filnamnet för att se om det är bra eller dåligt. Pacmans startlista kan hjälpa till med att identifiera ett objekt.

N1, N2, N3, N4 - Netscape / Mozilla Start & Sök sida

Vad det ser ut som:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Program Files Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Documents and Settings User Application Data Mozilla Profiler defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Documents and Settings User Application Data Mozilla Profiler defaulto9t1tfl.slt prefs.js)

Vad ska man göra:Vanligtvis är Netscape och Mozilla hemsida och söksida säkra. De får sällan kappas, bara Lop.com har varit känd för att göra det här. Ska du se en URL som du inte känner igen som din startsida eller söksida, har HijackThis åtgärdat det.

O1 - Värdfiler omdirigeringar

Vad det ser ut som:O1 - Värdar: 216.177.73.139 auto.search.msn.comO1 - Värdar: 216.177.73.139 search.netscape.comO1 - Värdar: 216.177.73.139 ieautosearchO1 - Värdarfilen finns på C: Windows Help hosts

Vad ska man göra:Denna kapning omdirigerar adressen till höger till IP-adressen till vänster.Om IP-adressen inte tillhör adressen kommer du att dirigeras till en felaktig webbplats varje gång du anger adressen. Du kan alltid ha HijackThis fixa dessa, om du inte medvetet sätter dessa linjer i din värdfil.

Det sista objektet förekommer ibland på Windows 2000 / XP med en Coolwebsearch-infektion. Fix alltid det här objektet, eller reparera CWShredder automatiskt.

O2 - Browser Helper Objects

Vad det ser ut som:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAMFILER YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (inget namn) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAMFILER POPUP ELIMINATOR AUTODISPLAY401.DLL (fil saknas)O2 - BHO: Förbättrad MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAMFILER MEDIALOADS ENHANCED ME1.DLL

Vad ska man göra:Om du inte känner igen ett namn för webbläsarhjälpareobjektet använder du TonyKs BHO & verktygsfältslista för att hitta det genom klass-ID (CLSID, numret mellan krökningsfästen) och se om det är bra eller dåligt. I BHO-listan betyder 'X' spionprogram och 'L' säkra.

O3 - IE verktygsfält

Vad det ser ut som: O3 - Verktygsfält: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAMFILER YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Verktygsfält: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAMFILER POPUP ELIMINATOR PETOOLBAR401.DLL (fil saknas)O3 - Verktygsfält: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL

Vad ska man göra:Om du inte direkt känner igen en verktygsfälts namn, använd TonyKs BHO & Toolbar List för att hitta den genom klass ID (CLSID, siffran mellan locket) och se om det är bra eller dåligt. I verktygsfältslistan betyder 'X' spionprogram och 'L' säkra. Om det inte finns på listan och namnet verkar som en slumpvis teckenstorlek och filen finns i mappen "Programdata" (som den sista i exemplen ovan), är det förmodligen Lop.com, och du borde definitivt ha HijackThis fixa Det.

O4 - Autoloading-program från register eller startgrupp

Vad det ser ut som:O4 - HKLM .. Kör: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Kör: SystemTray SysTray.ExeO4 - HKLM .. Kör: ccApp "C: Program Common Files Symantec Shared ccApp.exe"O4 - Starta: Microsoft Office.lnk = C: Program Microsoft Office Office OSA9.EXEO4 - Global uppstart: winlogon.exe

Vad ska man göra:Använd PacMans Startlista för att hitta posten och se om det är bra eller dåligt.

Om objektet visar ett program som sitter i en Startup-grupp (som det sista objektet ovan), kan HijackThis inte fixa objektet om det här programmet fortfarande finns i minnet. Använd Windows Task Manager (TASKMGR.EXE) för att stänga processen innan du fixar.

O5 - IE Alternativ som inte syns i Kontrollpanelen

Vad det ser ut som: O5 - control.ini: inetcpl.cpl = no

Vad ska man göra:Om du eller din systemadministrator har dolt dolt ikonen från Kontrollpanelen, fixar HijackThis det.

O6 - IE Alternativåtkomst begränsad av Administratör

Vad det ser ut som:O6 - HKCU Software Policies Microsoft Internet Explorer Restriktioner närvarande

Vad ska man göra:Om du inte har alternativet Spybot S & D "Lås hemsida från ändringar" aktiverat, eller om systemadministratören sätter det på plats, fixar HijackThis det här.

O7 - Regedit-åtkomst begränsad av Administratör

Vad det ser ut som:O7 - HKCU Software Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Vad ska man göra:Har alltid HijackThis fixa det här, om inte din systemadministratör har infört denna begränsning.

O8 - Extra objekt i högerklick-menyn i IE

Vad det ser ut som: O8 - Extra kontext menyalternativ: & Google Search - res: // C: WINDOWS DOWNLOADED PROGRAMFILER GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Extra kontext menyalternativ: Yahoo! Sök - fil: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - Extra kontext menyalternativ: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Extra kontext menyalternativ: Zoom O & ut - C: WINDOWS WEB zoomout.htm

Vad ska man göra:Om du inte känner igen objektets namn i högerklick-menyn i IE, fixar HijackThis det.

O9 - Extra knappar på huvud IE-verktygsfältet, eller extra artiklar i IE 'Verktyg' -menyn

Vad det ser ut som: O9 - Extra knapp: Messenger (HKLM)O9 - Extra 'Tools' meny: Messenger (HKLM)O9 - Extra knapp: AIM (HKLM)

Vad ska man göra:Om du inte känner igen namnet på knappen eller menyalternativet, reparera HijackThis.

O10 - Winsock kapare

Vad det ser ut som: O10 - Hijacked Internet Access av New.NetO10 - Broken Internet access på grund av LSP provider 'c: progra ~ 1 common ~ 2 verktygsfält cnmib.dll' saknasO10 - Okänd fil i Winsock LSP: c: programfiler newton vet vmain.dll

Vad ska man göra:Det är bäst att fixa dessa med LSPFix från Cexx.org, eller Spybot S & D från Kolla.de.

Observera att "okända" filer i LSP-stacken inte kommer att åtgärdas av HijackThis, för säkerhetsproblem.

O11 - Extra grupp i IE 'Advanced Options' fönstret

Vad det ser ut som: O11 - Alternativgrupp: CommonName CommonName

Vad ska man göra:Den enda kaparen som nu lägger till sin egen alternativgrupp till fönstret IE Advanced Options är CommonName. Så du kan alltid ha HijackThis fixa det här.

O12 - IE plugins

Vad det ser ut som: O12 - Plugin för .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - Plugin för .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll

Vad ska man göra:För det mesta är dessa säkert. Endast OnFlow lägger till ett plugin här som du inte vill ha (.ofb).

O13 - IE DefaultPrefix kapning

Vad det ser ut som: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - WWW-prefix: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Prefix: http://ehttp.cc/?

Vad ska man göra:Dessa är alltid dåliga. Har HijackThis fixa dem.

O14 - "Återställ webbinställningar" kapning

Vad det ser ut som: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Vad ska man göra:Om webbadressen inte är leverantören av din dator eller din ISP, fixar HijackThis det.

O15 - Oönskade webbplatser i Trusted Zone

Vad det ser ut som: O15 - Trusted Zone: http://free.aol.comO15 - Trusted Zone: * .coolwebsearch.comO15 - Trusted Zone: * .msn.com

Vad ska man göra:För det mesta lägger bara AOL och Coolwebsearch tyst till webbplatser i den betrodda zonen. Om du inte har lagt till den angivna domänen självförtroende, har HijackThis åtgärdat det.

O16 - ActiveX-objekt (även nedladdade programfiler)

Vad det ser ut som: O16 - DPF: Yahoo! Chatt - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Vad ska man göra:Om du inte känner igen objektets namn eller den webbadress som den hämtades från har HijackThis fixat det. Om namnet eller webbadressen innehåller ord som "dialer", "casino", "free_plugin" etc, fixar det definitivt. Javacools SpywareBlaster har en stor databas av skadliga ActiveX-objekt som kan användas för att titta på CLSID-filer. (Högerklicka på listan för att använda Sök-funktionen.)

O17 - Lop.com domänkapslag

Vad det ser ut som: O17 - HKLM System CCS Services VxD MSTCP: Domän = aoldsl.netO17 - HKLM System CCS Tjänster Tcpip Parametrar: Domän = W21944.find-quick.comO17 - HKLM Software .. Telefoni: Domännamn = W21944.find-quick.comO17 - HKLM System CCS Tjänster Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domän = W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip Parametrar: SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Vad ska man göra:Om domänen inte är från din Internetleverantör eller företagsnätverk, reparera HijackThis. Detsamma gäller för posterna "Söklista". För posterna "NameServer" (DNS-servrar), Google för IP eller IP-adresser och det blir lätt att se om de är bra eller dåliga.

O18 - Extra protokoll och protokoll kapare

Vad det ser ut som: O18 - protokoll: relaterade länkar - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - protokoll: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Vad ska man göra:Bara några få kapare dyker upp här. De kända baddiesna är 'cn' (CommonName), 'ayb' (Lop.com) och 'relatedlinks' (Huntbar), du borde ha HijackThis fixa dem. Andra saker som uppstår är inte heller bekräftade säkra än, eller kapas (det vill säga CLSID har ändrats) av spionprogram. I det sista fallet har HijackThis åtgärdat det.

O19 - Körning av användarkladblad

Vad det ser ut som: O19 - Användarstilarkiv: c: WINDOWS Java my.css

Vad ska man göra:I händelse av en webbläsarsavbrott och frekventa popup-filer, har HijackThis åtgärda det här objektet om det visas i loggen. Men eftersom endast Coolwebsearch gör det här är det bättre att använda CWShredder för att fixa det.

O20 - AppInit_DLLs Registreringsvärde autorun

Vad det ser ut som: O20 - AppInit_DLLs: msconfd.dll

Vad ska man göra:Detta registervärde som ligger i HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows laddar en DLL i minnet när användaren loggar in, varefter den förblir i minnet tills avloggning. Mycket få legitima program använder det (Norton CleanSweep använder APITRAP.DLL), oftast används den av trojaner eller aggressiva webbläsarekapare.

I händelse av en "dold" DLL-laddning från detta registervärde (endast synligt när du använder alternativet Edit Binary Data i Regedit) kan dll-namnet vara prefixat med ett rör '|' för att göra den synlig i stocken.

O21 - ShellServiceObjectDelayLoad

Vad det ser ut som: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

Vad ska man göra:Detta är en okodifierad autorunmetod, som normalt används av några Windows-systemkomponenter. Objekt som anges på HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad laddas av Explorer när Windows startar. HijackThis använder en vitlista av flera mycket vanliga SSODL-objekt, så när en artikel visas i loggen är den okänd och eventuellt skadlig. Behandla med stor omsorg.

O22 - SharedTaskScheduler

Vad det ser ut som: O22 - SharedTaskScheduler: (inget namn) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Vad ska man göra:Detta är en okodifierad autorun för Windows NT / 2000 / XP, som används mycket sällan. Hittills använder endast CWS.Smartfinder det. Behandla med omsorg.

O23 - NT Services

Vad det ser ut som: O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Program Kerio Personal Firewall persfw.exe

Vad ska man göra:Detta är noteringen av andra Microsoft-tjänster.Listan ska vara densamma som den du ser i Msconfig-verktyget i Windows XP. Flera trojanska hijackers använder en hemlagad tjänst i adittion till andra startups för att installera om sig. Det fullständiga namnet är vanligtvis viktigt, som "Nätverkssäkerhetstjänst", "Arbetsstationens inloggningstjänst" eller "Fjärrproceduruppringningshjälpen", men det interna namnet (mellan parentes) är en skräpsträng, som "Ort". Den andra delen av raden är ägaren till filen i slutet, vilket ses i filens egenskaper.

Observera att en O23-enhet endast stannar tjänsten och inaktiverar den. Tjänsten måste raderas från registret manuellt eller med ett annat verktyg. I hijackThis 1.99.1 eller senare kan knappen "Delete NT Service" i avsnittet Misc Tools användas för detta.

Så här analyserar du XML-filer i Xcode

Så här analyserar du XML-filer i Xcode

Den gemensamma uppgiften att analysera RSS- eller XML-filer görs enkelt i det här steg-för-steg-objektet-C-handledning som visar hur du gör det.

Hur lösenord är stulna (och hur man skyddar din)

Hur lösenord är stulna (och hur man skyddar din)

Varje dag stjäl hackare lösenord, och deras metoder är smutsiga. Så här känner du igen och förhindrar någon som försöker stjäla ditt lösenord.

Uber Tipping: Hur mycket och hur man gör det

Uber Tipping: Hur mycket och hur man gör det

En steg-för-steg-handledning om hur man lämnar ett tips för din Uber-drivrutin direkt via appen.

Redaktionen